0xMH

파일k.ps1b01eef4bfd68fa46ae93ade813471e62e8939b6f3d53c94114ffd98c0d5f1fd3 --> VT 업로드 날짜 2024년 09월 23일pow.ps1 751698edee5ec4c46fddaa995f120984dfd551e1f68fc2d0fea7bfe1a8868c83 --> VT 업로드 날짜 2024년 9월 23일dream.vbs24048a45edb373df83bcaee3fd2b0bc2b4bb858fe154919195f48fa0410b73b9 --> VT 업로드 날짜 2024년 09월 23docx.bat6aa86e6c5ca97af149bf22c4deb7b0456727a4c5e67b508c9518e8c8e1b79795 --> VT 업로드 날짜 2024년 09월 23t..

악성코드 Malware/Threat Intelligence 2024. 9. 23. 19:28

자는 사이에  트위터에 새로운 김수키 파일이 업로드 됐다고 글이 올라왔는데 추석이지만 김수키 악성코드는 못 참지... (Malware bazaar 업로드 시간: 2024-09-16 16:34:31 UTC) 1st Stage: LNK 파일많이 봐와서 이제 재미없지만 이번 악성 lnk 파일도 아래와 같이 일반 docx 문서 파일 아이콘으로 위장하며 클릭 시 코드가 실행됩니다.파일의 properties을 보자마자 냄새 나지... mshta, base64... 좋을 리가 없죠. 빠른 분석을 위하여 Eric Zimmerman님의 LECmd라는 툴을 사용했습니다. 실행 시 해당 .lnk 파일이 어떤 악성 행위를 하는지 바로 알 수 있습니다. 아래 코드를 보니 해당 lnk 파일은 C2 서버인 64.49.14[.]18..

악성코드 Malware 2024. 9. 17. 19:38

요즘 Threat Intelligence (위협 인텔리전스)에 관심이 많이 생겨 오늘 블로그에서는 악성코드 분석 단계를 뛰어넘고 바로 "인프라 헌팅"에 들어갑니다. 블로그의 핵심 부분에 들어가기 전에 인프라 헌팅이란 것은 무엇인지 그리고 정보보안 전문가들이 이 주제에 관심을 가져야 하는 이유에 대해서 저의 의견을 말씀드리겠습니다.인프라 헌팅 저 악성코드 분석으로 항상 얻고자 했던 것은 IOC (IP 주소, 도메인 이름, 행동 관련 IOC 등)를 얻으려고 했는데 사실 악성 샘플 분석하는 데에 시간이 꽤 걸릴 뿐만 아니라 높은 기술 지식이 필요합니다. 아울러, 회사에서 관련 일을 하다 보면 타이트한 데드라인이 생길 수도 있고 짧은 시간에 쓸만한 정보를 가져야 와야 할 때가 많아 샘플 하나 시작부터 끝까지 분..

악성코드 Malware/Threat Intelligence 2024. 8. 4. 21:09

요즘은 구글 광고 유포되는 악성코드가 유행인데요 그중에 12월 말에 처음으로 Malwarebazaar에 나타난 Rhadamanthys이라는 Stealer 악성코드도 하나입니다. 피해자의 소중한 개인정보를 탈취하는 악성코드이므로 이 블로그에서 분석했던 RacoonStealer하고 OskiStealer 악성코드와 매우 비슷하나 분석해 보니 Rhadamanthys가 두 악성코드들보다 더 sophisticated이다! 라는 생각을 들었습니다. 그 이유는 Rhadamanthys가 자신의 마지막 payload를 실행 시키기 전에 다양한 단계들을 거쳐서입니다. 아울러 Rhadamanthys는 Shellcode와 제가 지금까지 본 적 없는 재밌는 shellcode 실행 방식을 쓰기 때문에 분석이 매우 재밌었네요. 이 ..

악성코드 Malware/Stealer 2023. 1. 28. 14:30

악성코드 공부를 처음 시작했을 때 IcedID 로더를 분석한 적이 있었는데 되게 "간단한" 분석이었습니다. 아울러 그때의 IcedID의 TTP (Tactics, Techniques, and Procedures)가 달라졌기 때문에 오랜만에 IcedID를 다시 한번 보기로 했습니다! (파일은 링크에 들어가 다운로드 가능). 그리고 파이썬 코딩은 아직 좀 약한 편인데.... 간단한 config extractor를 만들어보고 싶어서 IcedID 고른 이유도 있습니다 :) https://bazaar.abuse.ch/sample/a60bbdf9d08eb136bb124595828f944fd292a08dd8c860beeeb6fe5e96187fef/ 압축 폴더를 풀고 확인해 보니 .iso 파일하고, "Invoi_PDF"..

악성코드 Malware/Dropper-Loader 2023. 1. 11. 21:08

저번 블로그에서 Darkside를 되게 재밌게 분석을 해서 이번에도 다른 랜섬웨어를 분석하고 싶었는데 많은 악성코드들 중에 어느 랜섬웨어가 가장 좋고 그나마 접하기가 쉬울지 고민하며 찾아보다가 Babuk이라는 샘플을 찾게 되었습니다. Babuk의 encryption routine 빼고 남은 기능들은 다크사이드보다 분석하기가 훨씬 쉽고 다크사이드와 달리 Babuk는 dynamic IAT를 만들지 않고 중요한 string들도 전혀 암호화되어 있지 않고 plaintext입니다. 랜섬웨어에 대해서 궁금해하시는 분들은 아마 Babok부터 시작하는 것이 좋을 것 같습니다! 샘플은 여기서 다운로드하시면 됩니다: https://bazaar.abuse.ch/sample/704a0fa7de19564bc743fb68aa06..

악성코드 Malware/랜섬웨어 2022. 11. 13. 17:26

다크사이드는 command line parameter를 쓰는 기능을 갖고 있는데 자기 encryption 루틴을 활용하고 폴더를 하나 선택하여 그 폴더만 암호화시킵니다. PathIsUNCServerW를 활용하여 유효한 UNC (Universal Naming Convention) 서버가 존재하는지를 확인합니다. 그렇지 않은 경우네는 PathisNetworkPathW를 불러오고 "make_path"이라는 변수로 path를 직접 만드는 것이 보입니다. 이제부터 재밌어집니다. 아랫 내용은 로그파일에 저장될 것이고, 유용한 스트링들이 보입니다. 다양한 Encryption 속도가 있는 것 같고, I/O 활용해서 multithread encryption을 사용하는 것 같습니다. Part 1에서 언급했던 토켄이 다시 ..

악성코드 Malware/랜섬웨어 2022. 11. 5. 11:33

2021년 5 월조쯤에 Colonial Pipeline이라는 기업이 랜섬웨어 악성코드 공격의 피해자 되었는데, 이 기업은 미국의 East Coast 연료 공급 50%를 담당합니다. 상황이 심각해지며 미국 18개의 주에서 비상상태 선포되었습니다. 과연 이 랜섬웨어가 무엇을 하는 악성코드인지, 무슨 기능을 갖고 있는 것인지에 대해 알아보겠습니다! 지금까지 이 블로그에서 분석해왔던 악성코드들 중에 가장 어려운 것이라서 두 파트로 나누겠습니다! 샘플은 MalwareBazaar에서 다운로드 가능합니다. https://bazaar.abuse.ch/sample/151fbd6c299e734f7853497bd083abfa29f8c186a9db31dbe330ace2d35660d5/ PE Studio를 확인하자마자 유용한 ..

악성코드 Malware/랜섬웨어 2022. 11. 1. 13:42